pwn栈溢出学习 基本ROP——ret2text

最新推荐文章于 2025-01-04 21:48:50 发布
原创 最新推荐文章于 2025-01-04 21:48:50 发布 · 508 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

本文详细介绍了如何通过检查栈特性、IDA Pro分析、gdb调试来计算栈溢出时ret2text的攻击路径。涉及步骤包括检查NX保护、计算s相对于ebp的偏移、定位system函数地址,并利用gdb获取覆盖数据大小,最终编写并执行exploit。

CTFWiki 栈溢出 ret2text

目录

1.checksec跑一下

在这里插入图片描述

  • NX enable :栈不可执行
  • 对于这个题目来说执不执行都无所谓

2.IDA pro看一下

2.1. 计算s相对ebp的偏移量

2.1.1. 手动计算

在这里插入图片描述

  • 看到一个危险函数 gets()
  • 看到[esp + 1ch] [ebp - 64h]
  • 这个时候我们要算一下需要发送多少数据才能覆盖栈
  • 这两个方括号里面代表的是 s 分别到 esp 和 ebp 的距离
  • 我们想要的得到的是ebp - s 的值
  • 因此我们要算出 s 的地址
  • s的地址就应该是esp+1c
    这里附上图看看
    在这里插入图片描述
  • ebp指向栈底 是高地址
  • esp指向栈顶 是低地址
  • s距离esp的偏移是0x1c
  • 下面看看gdb动态调试
  • 在学习gdb的时候遇到的诸多问题请看我写的另一篇文章
最低0.47元/天 解锁文章
PWN基础-ROP技术-ret2syscall-64位程序栈溢出利用
Welcome To Myon'Blog !
05-08 759
后面传两个参数就可以了,分开写,一起写都可以的,这里就不做过多演示了。前置 ret2syscall 的基础我们就不做过多讲解了。execve 系统调用号是 59,也就是 0x3b。ida 看一下 main 函数,存在明显的栈溢出。看到有两个连一起的,当然我们也可以一个一个地传参。而 64 位系统调用最后是执行 syscall。32 位系统调用最后是执行 int x080。我们这里只用到前三个就可以了,以及 rax。这里看到的这个不对,因为后面没有 ret。正确的应该是 0x45BAC5。
PWN栈溢出基础——ROP1.0
Gifoyle的博客
07-13 1053
PWN栈溢出基础——ROP1.0 这篇文章介绍ret2text,ret2shellcode,ret2syscall(基础篇) 在中间会尽量准确地阐述漏洞利用和exp的原理,并且尽量细致地将每一步操作写出来。 参考ctf-wiki以及其他资源,参考链接见最后,文中展示的题目下载链接见评论区 1.ret2text ret2text即控制程序执行程序本身已有的代码(.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码(也就是gadgets
pwn ,ret2text
amber_o0k的博客
07-28 345
直接gdb ret2text,然后start进调试模式 用gdb自带命令,pattern create 200,生成一个200个字符的字符串,后面会用到。 用gdb自带命令,pattern create 200,生成一个200个字符的字符串 单走一个r,让程序跑起来 ,且程序会让你输入,把字符串怼进去 然后程序就会报错了,EIP显示的字符就是程序即将执行的字符,需要将这个字符替换为想要执行的函数的地址。 用gdb自带的命令数一下在“AA8A”之前还有多少个字符...
pwn ret2text
young‘s blog
02-06 1630
好久没有写博客了,今天记录一下做ctf-wiki上ret2text的过程,也记录一下学到的东西,一点一点积累成长。 地址:ctf-wiki 源程序也在里面 边看视频边学的,视频地址为: ret2text 程序下载好之后通过checksec查看保护措施: 没有开启canary,32位动态链接程序 知道程序的基本信息后运行一下程序,看看程序都有什么功能。 测试后得知只有一个输入点。 拖进ida分析一下...
PWN ret2text
prettyX的博客
11-21 1074
今天跟着B站UP学习ROP,向UP表示感谢。 0X01 什么是ROP ROP就是shellcode的一种特殊写法。ROP技术就是不需要自己动手写shellcode,只是利用文件中给出的多个跳转指令,实现利用原有代码达到获取shell的目的。 0X02 ROP使用的地方 1、当程序开启了NX保护机制;NX策略是使栈区域的代码无法执行,但我们可以使用RO...
PWN 栈溢出
u012173720的博客
11-21 1121
Beginning 如果想用栈溢出来执行攻击指令,就要在溢出数据内包含攻击指令的内容或地址,并且要将程序控制权交给该指令。攻击指令可以是自定义的指令片段,也可以利用系统内已有的函数及指令 0x01 函数调用栈是指程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量等。称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(ca...
栈溢出脚本_CTF必备技能丨Linux Pwn入门教程——栈溢出基础(文末有彩蛋)
weixin_39723248的博客
11-20 320
这是一套Linux Pwn入门教程系列,作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的一些题目和文章整理出一份相对完整的Linux Pwn教程。课程回顾>>Linux Pwn入门教程第一章:环境配置更多Pwn视频课程本系列教程仅针对i386/amd64下的Linux Pwn常见的Pwn手法,如栈,堆,整数溢出,格式化字符串,条件竞争等进行介绍,所有环境都会...
pwn栈溢出学习 基本ROP——ret2syscall
MrTreebook的博客
11-28 1387
pwn栈溢出学习 基本ROP——ret2syscall1.实验程序2.gcc编译3.用pwndgb或peda计算溢出长度4.通过ROPgadget这个工具来获取指令的位置5.exp 1.实验程序 #include <stdio.h> #include <string.h> #include <sys/types.h> #include <unistd.h> #include <sys/syscall.h> void exploit() {
跟着CTF-wiki学pwn——ret2text
qq_42882717的博客
06-21 1441
肾么叫做万死不辞呀,就是每天被气死一万次,也不辞职…(哭哭
PWN入门之栈溢出
weixin_44681716的博客
03-12 1332
PWN入门 先利用IDA对pwn文件进行静态调试 对pwn文件进行反编译 因为CFT是夺旗赛,所以我们首先要找到get flag的函数 利用gdb进行动态调试 我们就可以利用栈溢出获取系统权限 利用通过输入大量的字符来使其达到溢出,判断溢出的位置,从而获得栈长。 我们利用cyclic length函数产生若干个有序字符。 利用cyclic 300产生300个有序字符。 用gdb来运...
PWN的知识之栈溢出
2301_80217770的博客
01-04 852
PWN的必备知识之栈溢出,一文带你读懂栈溢出
PWN入门--栈溢出
yjh_fnu_ltn的博客
05-07 1920
将原main函数的ebp值栈低入栈保存,再为ebp换上新的esp寄存器值,作为访问fun函数局部变量等的基址。最后退出fun函数,需要将原ebp的值恢复,关闭并销毁fun函数的栈帧:通常使用与生成栈帧相反的指令。最后,在main函数中删除栈(在调用者还是在被调用者中清除栈,取决于函数的调用规定)。这次从栈的角度详细,计算垃圾数据填充大小时多少,system函数的参数如何传递的问题。后面看到盗用fun函数的过程,使用栈完成传参,此时还没有进入到fun函数,所以其。,在栈溢出的漏洞中,我们经常要用我们。
PWN初体验之ret2text
weixin_43137410的博客
08-04 862
"Hello,World!"的浪漫可能只有直男才懂!
PWN入门学习之简单的栈溢出
2301_80718478的博客
06-28 1593
栈溢出PWN的一种最简单的漏洞,其最核心的点就是,程序在读取用户输入的时候没有对输入内容进行检测与限制,从而导致输入的数据写入内存时挤占了其它不属于该变量的内存位置,从而导致重要寄存器(如RBP、RIP)中记录的地址被破坏,导致函数执行完返回时发生错误(找不到这样一个地址),即发生段错误(Segment fault)。但是同时,我们可以利用改写RBP、RIP寄存器值的这一特性,将程序跳转至我们期望的地方去。
PWN入门系列(2)栈溢出
小心信科理化声
12-02 1711
PWN入门系列(2) 栈溢出 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(覆盖)。是一种特定的缓冲区溢出漏洞,类似的还有heap、bss溢出等。其前提是: · 程序必须向栈上写入数据 程序对某个函数或者某个模块的输入数据的大小没有控制得当。 基本示例 举个简单的例子: #include <stdio.h> #include <string.h> void success() { puts("You Hava
浅谈PWN基础-栈溢出
qq_45751349的博客
04-04 835
一、预备知识 缓冲区溢出简单介绍 缓冲区溢出:简单的说,缓冲区溢出就是超长的数据向小缓冲区复制,导致数据超出了小缓冲区,导致缓冲区其他的数据遭到破坏,这就是缓冲区溢出。而栈溢出是缓冲区溢出的一种,也是最常见的。只不过栈溢出发生在栈,堆溢出发生在堆,其实都是一样的。 二、简介栈 栈:栈是一种计算机系统中的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入栈底,最后的数据在栈顶,需要读数据的时...
pwn自学笔记(1)--——ret2text
CDU__mint__的博客
10-05 2198
此篇文章是对ret2text学习初步总结。目标利用栈溢出执行危险程序获取shell。
pwn栈溢出
最新发布
03-08
### PWN 栈溢出漏洞利用教程 #### 概述 栈溢出是一种常见的软件安全漏洞,通常发生在程序试图将过多的数据放入堆栈上的缓冲区时。当这种情况发生时,额外的数据会覆盖相邻内存区域的内容,可能导致程序行为异常甚至允许攻击者执行恶意代码。 #### 原理分析 在 C 或其他低级编程语言中,如果开发者使用了像 `read`、`gets` 这样的危险函数来处理用户输入而未做适当长度验证,则可能引发此类问题[^2]。具体来说: - **栈帧结构**:每当调用一个新的子程序(即函数),都会创建一个新层——称为“栈帧”。这包含了局部变量以及返回地址等重要信息。 - **溢出机制**:一旦超出分配给某个数组或其他类型的存储空间范围之外写入数据就会触发溢出事件。此时不仅会影响该对象本身还会影响到其后的元素直至最终篡改到当前活动线程的指令指针寄存器EIP/RIP (Extended Instruction Pointer/Register),进而改变应用程序正常逻辑走向。 #### 利用方法 为了成功实施基于栈溢出的安全攻击并获取远程shell访问权限或者其他形式的有效载荷投放能力,可以采取如下策略之一或组合应用多个技术要点: ##### 1. 覆盖 Return Address 通过精心设计输入串使其恰好能够填充目标缓冲区直到触及ret addr位置处,并随后附加一条指向所需操作序列开头部分的新路径指示符完成转向控制转移过程[^4]。 ##### 2. ROP(Return-Oriented Programming) 考虑到现代操作系统普遍启用了诸如NX(non-executable stack)之类防御措施阻止直接注入可执机器码片段的做法变得不再可行;因此引入了一种间接方式—ROP链表构建法。此办法依赖于收集现有合法二进制映像内部已存在短小精悍的功能模块(gadgets),再按照一定顺序串联起来形成连贯完整的命令集达成预期目的[^3]。 ##### 3. 使用工具辅助开发 对于初学者而言掌握上述理论固然重要但也存在一定难度门槛,在实践中往往借助专门为此类场景定制化打造出来的框架库简化工作量提高效率。比如Python下的[pwntools](https://github.com/Gallopsled/pwntools/)就是一个非常流行的选择,它支持连接远端服务发送自定义payload并与之交互等功能特性[^5]。 ```python from pwn import * r = remote('example.com', port_number) # 构造Payload buffer_size = 0x80 padding = b'a' * buffer_size fake_rbp = b'b' * 8 return_address = p64(target_function_addr) payload = padding + fake_rbp + return_address # 发送Payload r.sendline(payload) # 开始交互模式等待响应 r.interactive() ``` #### 安全建议 为了避免成为潜在受害方,请务必遵循最佳实践编码指南以减少风险暴露面: - 尽量选用高级别的抽象层次编写业务逻辑; - 对所有外部接口传来的参数严格校验合法性边界; - 启用编译期优化选项如-fstack-protector-strong增强防护等级; - 及时更新补丁修复官方发布的各类已知缺陷报告。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值